Mozilla：披露软件缺陷 安全研究人员说了算

多年来，软件产业一直在推动制订缺陷披露原则。Snyder在ShmooCon黑客会议的一次讨论会上说，这些“负责任的披露”计划产生了一些效果，但安全研究人员仍然控制着这一过程。Snyder说，一切由安全研究人员说了算，他们控制着披露时间，他们控制着厂商是否有足够的发布时间。

公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露，等待厂商发布补丁软件后再公开详细资料，它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击，有损厂商的名誉。Snyder说，厂商有责任对向它们通报的缺陷做出及时的回应。

但是，并非所有的人都认可“负责任的披露”原则。安全软件厂商Immunity的Dave Aitel表示，这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商，它们希望控制这一过程。

Aitel说，安全研究人员无需向厂商通报缺陷资料，而是将缺陷信息出售给它。Immunity向安全研究人员购买安全缺陷的详细资料，并在其产品中使用这些资料，其中包括能够被用来入侵计算机和网络的渗透测试。

TippingPoint安全研究经理Rohit Dhamankar说，如果企业运用法律武器威胁安全研究人员，这是一种企业无知的典型例子。

为了获得针对对手的竞争优势，Immunity和TippingPoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料，它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。

Veracode的创始人、技术总监Chris Wysopal表示，如果不公开披露，缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。

Snyder说，是厂商有30天的时间发布补丁软件是一个不错的主意，他还呼吁安全研究人员遵守“负责任的披露”原则。